《密码法》颁布五周年:法治成效、实施难点与未来走向

文 | 公安部第三研究所研究员 黄道丽;西安交通大学教授 马民虎

2024年10月26日是《密码法》颁布五周年纪念日。作为密码工作的基本法,其颁布标志着我国密码工作进入了新时代。适逢习近平总书记创造性提出总体国家安全观十周年,做好《密码法》颁布五周年的法治评估具有特别重要的意义。总体国家安全观要求对国家安全问题具备全局和国际的辩证视角。本文回顾了《密码法》颁布五周年以来的重大事件,总结发展成就,分析难点问题,研判形势变化,并思考如何以全球视野和战略眼光推动密码软法和硬法的研究,为《密码法》的下一步创新发展提供有益参考。

一、《密码法》基本原则、立法目标和主要制度

《密码法》以总体国家安全观为指导,确立了密码工作的基本原则,明确了立法目标,围绕密码管理体制、密码分类管理、密码滥用防范、密码保障要求、密码使用管理、密码进出口、密码监测与危机管理以及监督管理等方面构建了主要法律制度。

(一)《密码法》基本原则和立法目标

密码是党和国家的重要战略资源,保障性与脆弱性并存,直接关系到国家的政治安全、经济安全、国防安全和网络安全。《密码法》是总体国家安全观在密码工作上的体现和实施,是对密码安全这一非传统安全领域的法律回应,也是立足于现代密码学,规范我国密码整个生命周期的专门性立法。该法以总体国家安全观为基本原则,夯实了密码保护网络和信息安全的技术基石地位,确立了“服务国家发展利益、保障国家安全利益”的立法目标。这体现了新时代密码发展的战略抉择,契合了中国式现代化征程上高质量发展和高水平安全良性互动的现实需求。

五年来,在党中央的高度重视和坚强领导下,国家密码管理部门开展了诸多卓有成效的法治建设工作,发布、联合发布了专项密码政策,组织修订了《商用密码管理条例》,增强《密码法》实施的规范性和指引性,同时强化商用密码的事中事后监管,推动网络安全和密码法治体系形成合力,为贯彻落实全面依法治国基本方略、推进《密码法》积极参与国家数字化转型和高质量发展、保障中国式现代化安全奠定了坚实的治理基础。

(二)《密码法》主要制度设计及进展

截至目前,我国已构建了以《密码法》为核心,以《商用密码管理条例》等行政法规为主干的密码法治体系,完成了以下主要法律制度的确立、细化和指引工作。

第一,明确国家密码管理体制。为规范密码管理工作,《密码法》明确国家、省、市、县四级管理体制,明确地方密码管理部门的法律地位,同时明确工商、海关、商务、公安、国家安全等有关部门在各自职权范围内协助密码管理部门进行密码管理工作,理顺了机要和商用密码管理之间的关系。

第二,确定分类管理原则。改革开放以来,密码工作中“商”与“密”界限模糊不清。在统一管理模式下,哪类密码可以被社会化利用,哪些属于军用范围,以及如何有效协调涉密、敏感和非涉密(信息),特别是如何界定商用密码,引起了普遍关注。《密码法》按照分类管理原则,将密码分为核心密码、普通密码和商用密码,并分章作出专门规定,有效回应了社会关切。

第三,禁止密码滥用,明确相关主体的密码安全要求。密码“滥用”问题严重,例如,勒索软件已经发展为全球公害。开源密码体系的发展失控也将导致密码安全面临严重威胁。同时,随着大数据和云计算的应用发展,密码的泛化应用进一步增加了被滥用的风险。鉴于此,《密码法》对依法使用密码作出了明确规定。同时,《密码法》与《网络安全法》《数据安全法》《反恐怖主义法》等相关法律进行有效衔接,对网络服务提供商和电信运营商等关键领域相关主体的密码安全提出了明确要求。

第四,确立全面的密码保障要求。《密码法》将密码保障分为两个层面:一是密码及密码系统的安全保障;二是密码发展保障。参考各国法律要求,并结合我国具体国情,《密码法》确立了包括密码队伍保障、密码安全意识培养、密码资金保障、密码现代化保障、密码标准化、密码产业促进、密码科研保障和密码知识产权保障的相关要求,在实现密码安全的前提下,最大程度地促进密码的发展。

2023年,《商用密码管理条例》进一步规定要建立健全商用密码科技创新促进机制,保护商用密码领域的知识产权,鼓励和支持商用密码科技成果转化和产业化应用。优化现行商用密码科研成果审查鉴定审批的适用范围。明确商用密码标准的制定、实施及监督检查。

第五,基于国际密码斗争形势明确密码的进出口管控要求。鉴于密码斗争与国际反恐需求的趋同,《密码法》将商用密码进出口纳入两用物项进出口管理,坚持对商用密码进出口实施清单管理和许可制度。在此基础上,《商用密码管理条例》衔接《出口管制法》要求,明确了商用密码进出口监管范围,细化了申请商用密码进出口许可证的程序、海关交验、质疑和组织鉴别程序。此外,考虑到密码功能在现代信息技术产品中的普及应用,《密码法》明确规定大众消费类产品所采用的商用密码不实行进口许可和出口管制制度,这既是国际社会的通行做法,也符合我国密码管理实践。

第六,关于密码使用管理。为贯彻落实行政审批改革的精神,《密码法》明确了密码的合法使用原则,取消了对密码科研和生产的许可规定,但明晰了密码自用和密码销售的一般和例外规定。同时,强制要求处理国家秘密时必须使用核心密码或者普通密码进行保护。

针对关键领域的密码应用,《密码法》强化了管理措施,强制要求关键信息基础设施领域使用商用密码,并对关键信息基础设施运营者的密码安全审查、密码检测、保护措施、密码系统建设和密码应用安全性评估进行明确规定。针对电子认证服务使用密码的问题,《商用密码管理条例》和《电子政务电子认证服务管理办法》进一步作出明确规定。

第七,密码监测与危机管理。预警与危机管控是信息安全治理中的重要内容,对于密码管理同样意义重大。《密码法》和《商用密码管理条例》明确了密码安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等相关规定。这些规定能够降低密码安全事件发生概率,并在出现密码安全事件后将损失控制在较小范围内。

第八,关于监督检查。《国家密码管理局商用密码随机抽查事项清单(2024年版)》发布,规定对多个抽查对象开展现场检查、书面检查和网络检查相结合的抽查方式。

二、《密码法》实施多重难点与挑战

五年来,《密码法》的科学性和合理性已经得到了广泛验证。然而,正如古语所言:“天下之事,不难于立法,而难于法之必行。”当前,在《密码法》的落地实施方面,也面临诸多重难点与挑战。

第一,密码法治意识问题。尽管密码政策的制定有着严格的程序性要求,但由于其结果不够透明,使得密码领域带有浓厚的神秘色彩。同时,有关法律规定的实施细节不明确,容易导致立法意愿与落地实施之间出现偏差。为了解决这一问题,建议依据《密码法》中的分类管理规定,公开相关商用密码管理政策,让社会各界感受到《密码法》是一部“活”的法律。此外,还可建立相应的媒体发言人制度,定期向社会公布相关政策和立法精神,以帮助公众更好地理解和支持这些措施,从而消除可能存在的误解。

第二,国际密码法治动态问题。重要国家和地区加速调整和制定密码法治,一方面是为了创造更安全的数据流动环境,并通过更有利的贸易促进措施赋能其国内数字经济发展;另一方面,也呈现出利用密码技术优势对其他国家予以遏制、打压或者歧视性限制的趋势。面对这一形势,国家密码智库应保持对国际密码法治动态的跟踪和分析,并结合世界贸易组织(WTO)多边贸易协定以及中国《密码法》《对外贸易法》和《反外国制裁法》等开展对策研究。

第三,国际数字贸易协定中的密码问题。尽管WTO的协议条款并未直接涉及密码,但其通过鼓励制定透明和必要的法规,间接影响密码产品和技术,这些法规服务于安全和知识产权保护等合法目标。WTO中的《技术性贸易壁垒协议》(TBT)强调成员国应实施合理的技术性贸易法规与措施,防止因技术法规阻碍国际贸易。《与贸易有关的知识产权协议》(TRIPS)间接保障与密码技术相关的知识产权,促进依赖密码的ICT产品的创新和贸易。不仅WTO如此,新双边和多边协定中涉及密码产品的非歧视性待遇、安全例外等问题,也成为谈判的重要关注点。例如,《全面与进步跨太平洋伙伴关系协定》(CPTPP)《美国-墨西哥-加拿大协议》(USMCA)以及日英《全面经济伙伴关系协议》(EPA)等区域贸易协定,均通过提供密码产品并将密码作为安全服务对待的方式,解决密码产品非歧视性待遇和安全例外问题。

由此可见,日益复杂的密码技术产品、全球密码市场的变化和不断演变的国内监管要求,都会推动国际贸易协议和区域贸易协定的不断调整。国家密码管理部门、密码智库等应围绕WTO及相关协定、协议、事件和案例中涉及的密码问题进行深入分析,为中国密码企业出海和中国密码产业的国际贸易繁荣提供坚实的支撑。

第四,部门监管协调问题。密码涉及多领域使用和多部门监管,监管部门间的协调一致是《密码法》有效实施的必要保障。一方面,《密码法》的权力清单和责任清单涉及面广,密码管理部门和其他部门间的密码权责事项需要在《密码法》基础上进行总体规划;另一方面,我国各行业和地方商用密码发展不均衡,如何协调全国一盘棋与地方差异化发展也是必须研究的难题。

从行政执法规范化的角度来看,当前密码领域仍存在较大的监管空白,例如权责清单不明、执法权限不清、执法程序缺失等。因此,应强化密码管理部门的执法能力建设,通过“末梢赋能”全面提升行政执法人员的能力素质,促使他们积极运用《密码法》赋予的权力开展工作,从而提高整体监管效率和社会影响力。

第五,商用密码检测认证问题。商用密码检测认证是有效实施商用密码管理的重要抓手,也是商用密码管理社会化的重要途径。检测认证可以被视为商用密码市场的“探针”,是商用密码管理的“二轨”机制。抓住这个关键点,能够为密码产品和服务的品质提供可靠保障。政府在建立商用密码检测认证机制的过程中不能“无为而治”,而应强化监管,维护市场管理的正常秩序。

此外,国家密码管理部门需要密切跟踪国家认证认可制度的发展动态,并参与修订和细化相关配套规定。检测认证的一般性要求应体现密码行业的特殊要求,需要有一条“看得见”的红线来把握检测认证机制的走向和成效。

第六,产业促进与贸易问题。《密码法》重塑了我国密码管理机制,《商用密码管理条例》对“应用促进”做了专章规定,并抓住关键环节,特别强调在新技术、新业态和新模式中的应用推广。国家密码管理部门发布的配套规章覆盖了商用密码应用和改造制度的整个生命周期。

值得注意的是,我国商用密码应用的普及度、合规性、正确性及有效性相对较低,部分行业密码使用不规范现象较为普遍。建议从责任审计的角度推进,将商用密码的责任审计作为一项重要措施,加速完成商用密码的改造和应用。在此过程中,网络安全等级保护制度发展过程中取得的经验值得关注和借鉴。

特别强调的是,为应用减负也应成为促进产业发展的重要内容。商用密码应用的安全性评估、网络安全等级测评、关键信息基础设施的安全检测评估,乃至国家安全审查和密码算法、密码协议、密钥管理机制等商用密码技术的审查鉴定,都需要“恰到好处”地使用。确立安全红线不能以损害应用单位的合法利益为代价,这也是监管能力现代化的应有之义。

相较于我国“数据要素市场”“数据出境便利化”等促发展机制,公开层面的商用密码产业发展支持性、鼓励性政策、规范、措施等仍相对薄弱,需相关部门着力补足。除传统资金、人员和保障支持外,“豁免规则”也应重点考虑,即参照“大众消费类产品所采用的商用密码豁免适用进出口管理”的思路,加强基于产业创新的商用密码管理制度“豁免规则”研究,特别是在“许可、评估框架”下的弹性适用规则,构建自贸区的“负面清单”和“监管沙盒”等制度。

第七,商用密码服务问题。密码服务是促进密码应用的重要内容。《密码法》明确界定了密码的三种表现形式之一即服务,一般是指基于密码专业技术和产品,实现密码功能,提供密码保障的行为。目前,我国尚未发布明确的商用密码服务目录。从全球实践来看,加密软件销售与许可、数字证书颁发、公钥基础设施(PKI)、安全电子邮件、虚拟专用网络(VPN)、安全信息和事件管理(SIEM)、多因素认证(MFA)、区块链技术解决方案、安全咨询和审计、密钥管理、硬件安全模块(HSM)、云加密等都属于密码服务,尤其是云加密服务已经成为市场上比较活跃的密码服务形态。随着新技术新业态的发展,密码服务的种类和应用范围也必然会不断扩展。

《密码法》第二十六条规定仅对使用网络关键设备和网络安全专用产品的商用密码服务实施强制性认证制度,通过制定目录明确管理范围,对目录以外的服务没有市场准入要求。此外,依据《密码法》《出口管制法》《商用密码管理条例》等法律法规的规定,密码服务也属于进出口管理范围,但如何将密码服务列入进出口监管目录仍面临诸多监管难题。2024年9月18日,国务院常务会议审议通过《中华人民共和国两用物项出口管制条例》,该条例值得结合上述法律法规一并深入研究。

第八,密码技术进出口监管问题。出口管制历来是保持国家技术优势、战略优势乃至国家安全的有效手段。美欧正重新定位和修改量子技术和后量子密码的出口监管规则。2024年9月5日,美国商务部工业和安全局(BIS)发布一项临时最终规则,与其盟友一同对量子计算等关键新兴技术实施管制,未来还会通过“对某些技术产品的全球分销方式进行规定”的方式加强量子计算的出口管制。同日,欧盟委员会宣布对《欧盟两用物项出口管制条例》附件一中的两用物项清单进行修订,将密码定义扩展为“可用或变得可用”的加密。同时,引入“加密激活”概念,通过定义扩张加密产品或服务的使用场景,对更多加密产品和服务进行更严格的控制和监管。

我国已将“以量子力学和密码学为基础,利用量子技术实现密码功能的设备”纳入《商用密码出口管制清单》。在此背景下,首先,需重新定位后量子密码的出口监管规则,特别是明确相应的监管标准。其次,需强化相关部门之间的协调与衔接。例如,《中国禁止出口限制出口技术目录》(商务部、科技部公告2023年第57号,以下简称《禁限目录》)将“量子密码技术,包括量子密码实现方法、传输技术、网络技术、工程实现技术等”纳入限制出口范围,后量子密码进出口监管方面如何与《禁限目录》进行协调与衔接也需要专门研究。此外,还需关注与《网络关键设备和网络安全专用产品目录》之间的一致性问题,将特定功能和指标的后量子密码作为安全专用产品加以监管。

第九,《密码法》宣传普及与智库建设。《密码法》颁布五周年之际,各级密码管理部门开展了一系列宣传普及工作,但对大部分社会公众而言,密码仍属于“陌生事物”。“不知法则难守法”,全面贯彻落实《密码法》的精髓,宣传引导必须先行且持续进行,建议从以下方面着手普及《密码法》,同时加强国家密码智库建设。

首先,将《密码法》列入全民普法规划,推动《密码法》进党校和党政机关,将《密码法》融入企事业单位工作流程,常态化开展普法教育和专业培训。其次,宣贯对象应从密码从业者扩展至更广泛的社会公众,采取通俗易懂的多样化普法形式,解决“密码无知”的社会问题。最后,将密码法治实践创新基地等国家智库打造成全国普法教育基地、爱国主义教育基地和科普宣传示范基地。充分发挥国家智库的宣传教育阵地引领作用,有序引导密码从业单位、学会协会、用户单位以及相关专家学者参与,提高从业人员和社会公众的密码法治意识。

三、《密码法》未来走向

进入新时代,我国面临更为严峻复杂的密码安全形势,展望《密码法》的下一个五年乃至更长周期,应贯彻落实总体国家安全观,坚持“服务国家发展利益、保障国家安全利益”的立法目标,围绕国家治理体系和治理能力现代化阶段目标,在全面依法治国和法治中国建设的背景下,立足技术立法特点,完善规则制定,适时推动《密码法》的创新发展,为中国式现代化推进提供坚强的密码法治保障。

(一)发展形势研判

《密码法》的未来发展应充分考虑全球数字化转型带来的国内外竞争与安全秩序需求变化。一方面,国际网络安全形势的不稳定性和不确定性日益加剧,各国间的密码攻防博弈复杂激烈。量子计算、后量子密码等颠覆性、前沿性技术竞争优势的争夺已实质性进入出口管制和执法个案层面,基本没有调整的空间。新“巴统”规则已经在国际层面展开对话,该规则明显针对中国的崛起,对近二十年来形成的密码国际贸易规则构成了严重挑战。另一方面,国内环境也在发生深刻变化。随着数字中国和智慧社会建设步伐的加快,这给密码应用及其相关工作带来了前所未有的机遇与挑战。为应对这些变化和挑战,《密码法》的未来发展至少应做到以下几点。

第一,坚持党的领导。必须贯彻落实党的二十大和二十届二中、三中全会精神,旗帜鲜明、毫不动摇地坚持党对密码工作的领导,把党的领导贯穿于密码工作全过程。

第二,积极防御威胁。从我国密码应用与创新面临的威胁出发,在攻防对抗的背景下思考国内外密码安全问题。对于国际密码斗争需做好积极防御和主动应对的思想准备。

第三,坚持创新发展、服务大局。服务大局是密码工作的价值所在。新时代创新发展与服务大局要求密码工作紧密围绕国家创新驱动发展战略,推动密码科技的自主创新和跨越式发展,同时服务于高水平对外开放。这包括在中国密码企业高水平“走出去”和“一带一路”共建以及数据要素制度体系构建等战略中,充分发挥密码科技及密码法治的功能,大力促进商用密码的应用和贸易繁荣。特别是要充分利用《密码法》,在WTO多边贸易体制、区域贸易协定和中国自由贸易港法规中,积极塑造以我为主的密码政策,为相关应用的促进和贸易提供制度保障。

第四,提前谋划,做好相关制度储备。在国际变局中谋划更具弹性的自适应能力,基于总体国家安全观开展法理论证和工具储备,依据《密码法》进行内外有别、军民各需的法治调控研究。在消解新冷战的多边管控风险方面,密码进出口制度需做好经济管制和战时动员的准备。在经济管制时期应重点振兴密码产业,而在战时动员时期则应确保国家安全利益和海外利益不受损害。

(二)立足技术立法特点的关注

未来技术的发展,特别是颠覆性技术的不确定性日益增强,防范《密码法》领域的技术黑天鹅事件已成为当务之急。当前,国家密码管理部门、行业组织、智库和企业等应加强合作研究,推进同态密码、人工智能和后量子密码等新兴技术对《密码法》的影响分析,做好法律适用与协调以及新的法律规范制定和战略布局。

第一,同态密码对《密码法》的影响。同态加密被认为是自非对称密码以来的传统密码重大升级,其允许在加密数据上进行计算而不需要解密数据,这可能对现行法律在数据处理透明度、安全性要求及合规责任等方面产生影响。因此,应开展同态密码的《密码法》法律适用性分析。

第二,人工智能对密码安全的影响。人工智能技术的善与恶并存,我们一方面应积极利用人工智能增强密码算法的适应性和强度,快速发现对密码保障系统的新威胁及其风险;另一方面,则需高度重视人工智能对密码算法等机制的威胁问题。智库、行业等应当加强人工智能对密码安全的威胁研究,为国家出台人工智能综合治理法律政策和构建大网络安全工作格局奠定学术基础。

第三,后量子密码对《密码法》的影响。美国在全球后量子密码规则、标准制定和迁移实现中已抢占了顶层设计的先机。2024年8月,美国国家标准与技术研究院(NIST)正式宣布推出全球首批三项后量子密码标准,对后量子密码科技创新与产业生态产生了深刻影响。在最佳实践方面,IBM等科技公司不仅开发量子计算技术,还在积极建立和实施后量子安全标准,组建政企合作联盟、推动商业开源社区的构建等。可以预见,美国的后量子密码算法将在国际上得到多数国家的支持,这不仅仅体现其全球量子霸权的意图,也是其长期铺垫和实施准备的结果。

我国的后量子密码正在进入第一个发展繁荣期,国内有关行业和企业都在积极探索后量子密码的应用和布局。当前,我国应积极组织开展后量子密码算法的战略和政策法律研究,分析《密码法》中后量子密码的法律适用和创新发展问题,思考如何依托《密码法》第四条构建并完善中国后量子密码发展专项战略,实施国家技术总动员,确立我国后量子解决方案的路线,构建国际后量子密码算法、产品和服务发展监测体系,培育中国后量子密码创新生态机制,以及完善并实施后量子密码算法的两用物项出口管制等。这既是科技竞争和国际斗争的需要,更是密码保障的法定责任。

(本文刊登于《中国信息安全》杂志2024年第10期)

声明:本文来自中国信息安全,稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场,转载目的在于传递更多信息。如有侵权,请联系rhliu@skdlabs.com,我们将及时按原作者或权利人的意愿予以更正。

上一篇:27天!揭秘身份管理中凭证修复为何如此艰难?

下一篇:苹果官方警告:零日漏洞攻击瞄准Mac电脑用户